Cara memeriksa false positive dari anti-virus

3

Ran Kaspersky Rescue 10 semalam dan sistem keluar bersih, kecuali untuk jalan pintas yang tidak jelas (satu di antara ratusan). Kaspersky melaporkan trojan sebagai: 

trojan-downloader.win32.pif.xx

dan menurut tautan Microsoft ini , Kaspersky memang bisa menemukan infeksi yang valid. Saya telah dengan hati-hati memeriksa file .lnk di editor biner dan Notepad, dengan tidak ada yang mencurigakan.

Pemindai virus menggunakan berbagai heuristik canggih (seperti hash SHA256) untuk mendeteksi infeksi, tetapi ini rentan terhadap kesalahan positif. Apakah ada cara manual untuk menentukan secara pasti apakah pintasan terinfeksi atau apakah Kaspersky baru saja menemukan kesalahan positif (jarang)?

MEMPERBARUI

aku menemukan ini pemindai online . Setelah mengunggah file .lnk saya, Kaspersky kembali menemukan trojan yang disebutkan di atas ... tetapi 55 pemindai lainnya tidak menemukan apa pun. Pintasan menjalankan perintah ini: 

%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat

Setelah melakukan satu perubahan sepele untuk menghapus /low dari perintah di atas, setiap pemindai sekarang menunjukkan pintasan sebagai bersih termasuk Kaspersky. Saya juga memindai cmd.exe, file batch itu sendiri dan beberapa cara pintas lainnya dengan perintah serupa. Tidak ada yang terdeteksi.

Dengan tingkat kepercayaan yang tinggi, ini tampaknya salah positif.

windows  security  anti-virus 
AlainD
sumber
Satu-satunya cara Anda dapat memeriksa false-positive, adalah jika Anda tahu ada sesuatu yang virus atau bukan. Mengingat Anda memerlukan pemindai untuk itu, jawabannya adalah: pindai dengan pemindai yang berbeda, tetapi perlu diingat, bahwa program lain mungkin tidak menemukan virus ini karena tidak tahu cara memindai. hanya memeriksa data biner suatu file tidak cukup.
LPChip
Tautan microsoft Anda tidak berfungsi
manjesh23
2
@ manjesh23 berfungsi untuk saya.
LPChip
@ LPChip, Maka tidak yakin apa yang salah dengan mesin saya. Terima kasih atas pembaruannya.
manjesh23
@Ramhound: Itu "Kirim OPC ke USB.lnk" jika Anda pikir nama itu relevan. Ini adalah salah satu dari banyak cara pintas ke banyak file batch yang saya gunakan untuk berbagai proyek pengembangan C ++ dan Delphi. Semua pintasan dan file kumpulan dibuat atau ditulis sendiri. Bahwa Kaspersky menandai pintasan yang tidak jelas ini sebagai ancaman membuat saya langsung berpikir "false positive", maka pertanyaannya.
AlainD

Jawaban:

2

"False positive" didefinisikan sebagai ketika perangkat lunak anti-malware mendeteksi masalah, tetapi sebenarnya tidak berbahaya. Tidak ada proses langsung langsung yang pasti yang 100% akan mengesampingkan positif palsu. Jika ada, kami akan mengotomatisasi teknik itu, dan menjadikannya bagian dari perangkat lunak anti-malware.

Jadi jawaban untuk pertanyaan Anda,

"Apakah ada cara manual untuk menentukan secara definitif".

adalah: hanya satu. Cara itu adalah dengan menganalisis ancaman secara manual, yang Anda katakan Anda lakukan di Notepad. Jika Anda menerapkan keahlian yang memadai (mis., Memahami format file, dan apa yang dapat dilakukan), maka Anda telah melakukan semua yang "pasti" dapat Anda lakukan. Hanya itu yang dapat dilakukan oleh penulis / pakar anti-malware terbaik dunia. Tidak ada hal lain yang lebih "pasti", atau proses sederhana lainnya yang "pasti".

Satu pendekatan yang dapat Anda gunakan adalah untuk memberikan suara. Unggah file ke http://VirusTotal.com dan cepat melihat apa yang dipikirkan anti-malware lain dari file tersebut.

Vendor perangkat lunak anti-malware akan sering menerbitkan informasi lebih lanjut, tentang ancaman yang terdeteksi, di situs web mereka. Mencari "Kaspersky Threat Database membawa saya ke Kaspersky VirusWatchLite, dan kemudian Anda dapat memasukkan" trojan-downloader.win32.pif.xx "ke dalam kotak filter. Ini memberi tahu Anda bahwa Kaspersky menambahkan ancaman pada April 2010. Tidak seperti beberapa ancaman lainnya, ancaman ini tampaknya tidak memiliki hyperlink ke info lebih lanjut.

Atau Anda bisa mencoba mencari "trojan-downloader.win32.pif.xx" di web. Ini menunjukkan kepada saya bahwa "trojan-downloader.win32.pif.us" memiliki beberapa info tentangnya, dengan hasil pencarian Google teratas adalah hyperlink Microsoft yang Anda berikan. Jadi, tampaknya Anda sudah menemukan jalur itu untuk dilihat.

Pada akhirnya, karena proses menentukan apakah sesuatu benar-benar berbahaya adalah membuat keputusan yang tidak sepenuhnya dapat dikontrol secara otomatis, pada akhirnya Anda harus membuat keputusan sendiri.

Memperbarui: Saya sekarang melihat pembaruan Anda. (Saya tidak tahu bagaimana saya melewatkannya sebelumnya.) Saya melihat Anda menemukan VirusTotal juga. Ya, sepertinya Anda menemukan pendekatan yang benar. Anggap jawaban saya sebagai mosi percaya bahwa Anda melakukan hal yang benar. Anggap diri Anda puas. Atau, jika Anda tidak bisa melakukan itu, bermain-main dengannya lagi, belajar tentang format yang tepat dari pintasan Windows, dan memeriksa setiap byte tunggal dalam hex editor.

TOOGAM
sumber
Terima kasih. VirusTotal bermanfaat karena Anda dapat melihat apa yang dipikirkan oleh beberapa pemindai virus. Sangat membantu melihat Kaspersky meningkatkan peringatan yang sama persis di situs web seperti yang terjadi pada pemindaian lokal (dan yang lainnya tidak mendeteksi apa-apa). Saya menghargai bahwa pemindai harus menggunakan heuristik untuk mendeteksi ancaman, jika tidak mereka akan terlalu lambat untuk berguna secara real-time. Tetapi bahkan aturan yang pandai pun terkadang gagal dan memberikan hasil positif palsu atau gagal mendeteksi ancaman nyata. Itulah hidup.
AlainD
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.